Linux用户以及ssh安全相关设置
Linux用户相关操作
摘要
最近重保, 需要进行网络安全防护.
部分同事处理过程总是顺序有一些不太对的情况.
同时发现自对Linux用户设置也存在很多不清不楚的地方
所以趁着周末学习和总结一下.
用户操作
# 新增用户, 这里想加入root用户组. 仅是测试,可以自定义其他的用户组
useradd -d /home/zhaobsh -g root zhaobsh
# 查看用户的组信息
groups zhaobsh
# 或者是通过这种方式来处理
cat /etc/passwd |egrep 'root|zhaobsh'
# 注意第四例就是用户组信息, 0 一般指代root用户组.
# 设置密码
passwd zhaobsh
/etc/passwd的相关信息
文件权限以及其他
chmod 777 * -R
第一个 7 指代当前用户
第二个 7 指代当前用户组
第三个 7 指代其他用户
所以一般 777 的授权危险很大, 会导致低权限用户也有执行命令的权限
一般非常不建议如此设置.
用户以及组删除
# 删除用户, 但是这个命令并不会删除用户的home目录
userdel zhaobsh
# 添加组
groupadd zhaobsh
# 删除组
groupdel zhaobsh
添加sudo权限
需要注入, 如果不允许root用户访问的话, 必须使用非特权用户.
但是特权用户登录之后需要进行 特权操作时必须先进行sudo权限的设置.
主要方式有两种, 推荐第一种
第一种:
使用root用户, 或者是具有sudo权限的用户
sudo visudo
可以添加一行信息
# 需要注意, 这样设置的话 zhaobsh用户可以特权执行任何命令, 并且不需要输入密码
# 不太建议如此设置, 但是如果非核心系统,如果已经ssh登录自己的用户进来了, 输入密码一般有点多余了.
zhaobsh ALL=(ALL) NOPASSWD: ALL
第二种:
先修改 /etc/sudoers 的文件权限.
注意 这个文件的默认权限是 440 建议修改为 740, 保证root用户可以操作.
然后在最下面也一样添加哪条信息
zhaobsh ALL=(ALL) NOPASSWD: ALL
然后在修改会原来的权限
chmod 440 /etc/sudoers
# 注意一定要修改回原来的权限,不然会丢失登录权限.
注意事项
必须在禁用root用户之前设置 sudo权限, 不然你会哭.
重要事情说三遍.
注意, 一般情况下sudo 如果需要输入密码, 有效期一般为 15min
如果设置了NOPASSWD: ALL 的话 则不需要输入密码
这里需要注意的一些情况是:
第一:
su 和 su - 的区别
su 仅是切换用户, 但是不会切环境变量, 一般不推荐
su - 会切换到要切换的用户的环境变量, 更加优秀一下.
第二:
sudo -i 和 sudo su 等的区别:
sudo -i 直接运行sudo命令加-i参数 要求执行该命令的用户必须在sudoers中才可以
sudo su 运行sudo命令给su命令提权,运行su命令。 要求执行该命令的用户必须在sudoers中才可以
sudo -i 运行结果 PWD=/root
sudo su 运行结果 PWD=/home/用户名(当前用户主目录)
这一段的来源:https://blog.csdn.net/qq_43842093/article/details/124913229
需要注意这两个命令会立即切为 root用户
禁止root用户的远程访问
为了安全期间, 很多时候会禁止root用户的远程登录.
不允许root用户进行远程登录避免出现安全隐患.
方式也比较简单, 可以在 /etc/ssh/sshd_config里面进行先关设置
需要注意. /etc/ssh 下面有两个config文件
ssh_config 是ssh客户端的配置文件
sshd_config 是ssh服务端的配置文件
linux中 daemon 指代守护进程.
可以通过如下命令来禁止root用户的远程登录
sed -i 's/PermitRootLogin yes/PermitRootLogin no/g' /etc/ssh/sshd_config
注意 sed 是一个非常好的流处理工具. 在不方面操作时处理起来非常搞笑.
删除 密码登录验证的的选项, 并且修改为不允许密码登录验证
sed -i '/PasswordAuthentication/d' /etc/ssh/sshd_config
echo 'PasswordAuthentication no' >> /etc/ssh/sshd_config
关于ssh防火墙的处理
firewall 其实不是通过端口来将ssh服务进行暴露的.
还是通过服务名将ssh进行暴露,
这种方式有一个好处是, 修改了ssh服务的端口不需要重置firewalld的配置
但是缺点是容易找不对方向, 导致firewalld处理ssh服务实现.
这里简单说明一下:
firewall-cmd -h |grep list
# 可以查看firewalld-cmd的查看相关命令的帮助
# 查看firewall-cmd 例外的服务
firewall-cmd --list-services
# 将例外的服务永久移除
firewall-cmd --remove-service cockpit --permanent
# 需要注意 list 是复数形式,但是remove 是单数形式. 注意我这里是用cockpit进行测试的
# 重置firewalld的服务
firewall-cmd --reload
# 再次查看是否包含例外服务
firewall-cmd --list-services
Linux用户以及ssh安全相关设置的更多相关文章
- 生物信息Linux用户创建与配额设置
创建一个新用户,并配置使用. create_usr.sh: #/usr/bin/bash user=$1 password="123" useradd ${user} -g met ...
- 教你如何配置linux用户实现禁止ssh登陆机器但可用sftp登录!
构想和目标最近有个这样的诉求:基于对线上服务器的保密和安全,不希望开发人员直接登录线上服务器,因为登录服务器的权限太多难以管控,如直接修改代码.系统配置,并且也直接连上mysql.因此希望能限制开发人 ...
- linux下开启SSH,并且允许root用户远程登录,允许无密码登录
参考:http://blog.csdn.net/jia0511/article/details/8237698 1. 允许root用户远程登录 修改ssh服务配置文件 sudo vi /etc/ssh ...
- ssh公钥认证原理及设置root外的其他用户登录ssh
1)创建其他用户 useradd [-d 登录目录] [-G ssh][用户名] 一定要将用户添加到ssh组不然无法没有权限登录ssh 2)设置ssh不允许root登录 vi /etc/ssh/ss ...
- linux系统禁止root用户通过ssh登录及ssh的访问控制
Linux系统默认情况下,是可以通过ssh以root权限登录的.但出于安全考虑,这样的权限是不合适的,因为黑客可能通过暴力破解你的root密码,然后进入你的系统,oh,damn it..... 同样是 ...
- Linux给普通用户增加ssh权限
//1,创建用户 useradd name //2,修改密码 passwd name //3,修改ssh配置文件,在最后一行添加AllowUsers name vi /etc/ssh/sshd_con ...
- Linux—用户新建目录和文件的默认权限设置:umask详解
关注微信公众号:CodingTechWork,一起学习进步. 引言 我们有没有思考过一个问题,在登录Linux系统后,我们创建的目录或者文件的权限,为什么每次创建都是统一的?我们做以下实验:新建一 ...
- Linux ssh安全设置
本文摘要 SSH服务器配置文件是/etc/ssh/sshd_conf.在你对它进行每一次改动后都需要重新启动SSH服务,以便让改动生效. SSH服务器配置文件是/etc/ssh/sshd_ ...
- linux远程ssh一键设置服务器时间
cmd="sudo date -s \"$1\""; ssh mrdTomcat@*.*.*.* "$cmd" 是不是遇到过很多问题 ssh ...
- linux 下的ssh免密登陆设置
一,原理 说明: A为linux服务器a B为linux服务器b 每台linux都有ssh的服务端和客户端,linux下的ssh命令就是一个客户端 我们常用ssh协议来进行登陆或者是文件的拷贝,都需要 ...
随机推荐
- GaussDB CN服务异常实例分析
摘要:先通过OPS确认节点状态是否已经恢复,或登录后台执行cm_ctl query -Cv确认集群是否已经Normal. 本文分享自华为云社区<[实例状态]GaussDB CN服务异常>, ...
- 基于OpenHarmony L2设备,如何用IoTDeviceSDKTiny对接华为云
摘要:本文主要讲解如何基于L2设备对接华为云IoTDA,以DAYU200开发板,采用IoTDeviceSDKTiny对接华为云IoTDA,当然这里也可以采用其他OpenHarmony的富设备. 本文分 ...
- AUC/ROC:面试中80%都会问的知识点
摘要:ROC/AUC作为机器学习的评估指标非常重要,也是面试中经常出现的问题(80%都会问到) 本文分享自华为云社区<技术干货 | 解决面试中80%问题,基于MindSpore实现AUC/ROC ...
- 万亿养老市场如何抢占商机?云巢智慧康养物联网加速器,三招化解ISV痛点!
摘要:云巢智慧康养物联网加速器,围绕ISV的种种痛点,提供快速上云.资源共享.商业合作等多方面的支持,助力企业成长,共建智慧康养物联网生态. 本文分享自华为云社区<万亿养老市场如何抢占商机?云巢 ...
- ReactJS到React-Native,架构原理概述
React是一个纯JS的UI库,只能干HTML/CSS/JS 提供的Web服务(新的H5 API不一定支持), React-Native厉害在于它能打通JS和Native Code, 让JS能够调用丰 ...
- MongoDB 客户端工具,Studio3T 无法启动
阿里云 MongoDB 创建库添加用户并授权 MongoDB 客户端工具,Studio3T 无法启动,原因可能是因为本地的 java 版本导致 C:\Users\cj218>java -vers ...
- .NET 6 整合 Autofac 依赖注入容器
前言 一行业务代码还没写,框架代码一大堆,不利于学习. 常看到java的学习资料或博客,标题一般为<SpringBoot 整合 XXX>,所以仿照着写了<.NET 6 整合 Auto ...
- 批量上传 jar 包到远程 maven 仓库
mvn deploy命令: mvn deploy:deploy-file -Dmaven.test.skip=true -Dfile=log-lib-1.1.jar -DgroupId=com.sun ...
- 【Boost】Windows端使用 MSVC14.2 编译 Boost 并在 CMake 项目中使用
Write 2023.7.24 关于 boost 在 Windows 下的使用 gcc 安装与 CLion 的配置, 能够查到的英文资料都比较少, 踩过坑后记录一下. MinGW 安装 Boost B ...
- AtCoder Beginner Contest 172 (C题前缀和 + 二分,D题筛因子,E题容斥定理)
AB水题, C - Tsundoku 题目描述 有两摞书,一摞有 $n$ 本,从上至下每本需阅读 $a_i$ 分钟,一摞有 $m$ 本,从上至下每本需阅读 $b_i$ 分钟,问最多能在 $k$ 分钟内 ...